Erteilen präziser Berechtigungen für Sicherheitsgruppen

Geeignete Rollen: Globaler Admin | Admin für Benutzerverwaltung | Admin-Agent

Sie können den Sicherheitsgruppen vom Kunden genehmigte, Microsoft Entra-Rollen zuweisen.

Sie können diesen Sicherheitsgruppen dann präzise delegierte Administratorrechte (GDAP) erteilen.

Voraussetzungen

Partner sollten zuerst die Sicherheitsgruppe einrichten.

• Melden Sie sich beim Azure-Portal an.
• Erstellen Sie die neue Sicherheitsgruppe.
• Fügen Sie der Sicherheitsgruppe einen Benutzer hinzu.

Erteilen Sie Berechtigungen für Sicherheitsgruppen

Führen Sie die folgenden Schritte aus, um Sicherheitsgruppen Berechtigungen zu erteilen:

1. Melden Sie sich bei Partner Center an, und wählen Sie Kunden aus.

2. Wählen Sie den Kunden aus, den Sie verwalten möchten, und wählen Sie dann Administratorbeziehungen und dann die gewünschte Administratorbeziehung aus.

   

3. Wählen Sie unter "Sicherheitsgruppen" die Option "Sicherheitsgruppen hinzufügen" aus.

4. Wählen Sie im Bereich Sicherheitsgruppen die Sicherheitsgruppen aus, die Sie Berechtigungen erteilen möchten.

   

5. Wählen Sie "Weiter" aus, in dem der Seitenbereich "Microsoft Entra-Rollen auswählen" angezeigt wird.

6. Wählen Sie die Microsoft Entra-Rollen aus, die Sie der Sicherheitsgruppe für diese Administratorbeziehung zuweisen möchten.

   Die Microsoft Entra-Rollen, die Sie den Benutzern in der Sicherheitsgruppe zuweisen, um Dienste zu verwalten.

   

7. Wählen Sie im Seitenbereich speichern aus.

8. Der Status würde "Ausstehend" für die hinzugefügten Sicherheitsgruppen anzeigen. Aktualisieren Sie die Seite nach 30 Sekunden.

9. Der Status würde "Aktiv" anzeigen.

   Sie können weitere Sicherheitsgruppen und Microsoft Entra-Rollen entfernen oder hinzufügen.

   Alle Benutzer, die der Sicherheitsgruppe zugewiesen sind, können jetzt Dienste auf ihrer Dienstverwaltungsseite verwalten.

   

Delegierte Dynamics 365-Administratoren

Delegierte Administratoren:

• Sind in der Microsoft Entra-Benutzerliste eines Kunden nicht sichtbar
• Kann nicht vom internen Administrator eines Kunden verwaltet werden

Wenn sich ein delegierter Administrator jedoch im Namen eines Kunden bei einer Dynamics 365-Umgebung anmeldet, wird er automatisch als Benutzer innerhalb der Dynamics 365-Umgebung erstellt. Das bedeutet, dass die von einem delegierten Administrator ausgeführten Aktionen, z. B. das Veröffentlichen von Dokumenten, in Dynamics 365 protokolliert und ihrer ID im Microsoft Entra des Partners zugeordnet sind.

Der interne Administrator kann sehen, welche Änderungen von delegiertem Administrator vorgenommen werden und für welchen Partner ein bestimmter Benutzer arbeitet, aber er kann den Namen des Benutzers oder andere Kundeninhalte nicht sehen.

Nächste Schritte

• Rollen mit geringstmöglichen Berechtigungen nach Aufgabe
• So beenden Sie eine Beziehung – für Partner
• So beenden Sie eine Beziehung – für Kunden
• Für Partner in offboarded/suspended/restricted state sind hier die aktionen zulässig.